Plan De Continuité D'activité

Plan de continuité

Le plan de continuité ou plan de continuité d’activité (PCA) est à la fois le nom d’un concept, d’une procédure et du document qui la décrit.

Ce plan doit permettre à un groupe (gouvernement, collectivité, institution, entreprise, hôpital..) de fonctionner même en cas de désastre ; quitte à ce que ce soit en mode dégradé, ou en situation de crise majeure.

C’est un document stratégique, formalisé et régulièrement mis à jour, de planification de la réaction à une catastrophe ou à un sinistre grave. Son objet est de minimiser les impacts d’une crise ou d’une catastrophe naturelle, technologique ou sociale sur l’activité (et donc la pérennité) d’une entreprise, d’un gouvernement, d’une institution, d’un groupe…

Ces plans se sont répandus depuis les attentats du 11 septembre 2001, les attentats de Londres (juillet 2005) ou de Karachi. Les leçons tirées de la catastrophe de Tchernobyl ont également contribué à une profonde révision de certains plans.

Pour un gouvernement, il est essentiel que les secteurs fournissant des services vitaux tels que l’alimentation, la défense, la sécurité civile, les soins, la fourniture d’énergies (dont électricité), le transport en commun, les télécommunications, les banques, etc. soient capables de résilience face à une crise grave. De nombreuses entreprises sont de plus en plus dépendantes de leurs fournisseurs ou sous-traitants. Il est de leur intérêt que la planification de la continuité soit faite et partagée par la chaine des acteurs (du fournisseur au consommateur de biens ou de services.

Il varie selon les plans, mais il intègre généralement :

• les démarches existantes de type « Assurance qualité », dont un état des lieux mis à jour sur les thèmes vitaux incluant la sécurisation des locaux, des ressources vitales (dont informatiques et télécommunication) ;

• les plans de protection du personnel (y compris concernant le transport, l’hébergement, les soins qui sont le cas échéant étendu aux familles) ;

• les plans d’alerte et de secours, les plans de crise et de reprise d’activité (Cf. résilience) en vigueur ;

• ainsi que la gestion du risque juridique et assuranciel.

Cela se fait :

• en identifiant les forces et faiblesses, les points critiques

• en les coordonnant et dans la mesure du possible en les testant régulièrement par des exercices appuyés sur des scenarii de crise,

• en communiquant et en associant le personnel aux organigrammes fonctionnels (fonctions et moyens prioritaires, remplaçants possibles, solutions alternatives..), aux calendriers d'exercices et bilans, à l’évaluation de la gestion des risques, au choix et au renseignement des indicateurs (reporting). Les plans de formation, plan de communication (interne, externe) peuvent être précédés et accompagnés d’enquête de perception et/ou compréhension des acteurs, de groupe de travail, en s’appuyant sur la formation continue des personnels et parfois des sous-traitants et fournisseurs, voire de la population périphérique à un site sensible (sensibilisation, information, formation, exercices, etc).

• en s’appuyant sur une liste de ce qui est fait et reste à faire (check-list), sur des audits, études de risque, études d'impact,

Dans certaines entreprises, pour des raisons stratégiques, le Plan peut être pour tout ou partie confidentiel, ce qui peut nuire à son appropriation par une partie du personnel :

• en tenant compte du contexte. Les plans de continuité doivent être assez souples pour s’adapter à différents types de risques et dangers, en tenant compte du contexte local et global (ex ; le risque de tremblement de terre grave est a priori plus élevé en Indonésie qu’en Belgique, mais une entreprise belge ayant une agence importante à Java ou Bornéo doit s’y préparer).

Dans le secteur des services public, il est censé viser l’intérêt général (la question des coûts ne devrait pas être le 1er déterminant). Dans certaines entreprises privées, il peut être plus directement orienté sur le seul maintien de la pérennité de l’entreprise, mais dans un monde réputé globalisé et de plus en plus interdépendant les aspects éthiques semblent pouvoir ou devoir être re-questionnés.

Cadre réglementaire[

Ces plans sont obligatoires dans certains secteurs (ex : pour le secteur bancaire en Europe, à la suite de la réglementation Bale 2, ou pour les sociétés cotées au NYSE, depuis la loi Sarbanes Oxley. Ils sont parfois imposés aux assureurs ou réassureurs, ou sont exigés par certains commanditaires chez leur fournisseurs ou sous-traitants ou parce que leur propre Plan le leur impose. Ils peuvent être imposés par des actionnaires soucieux de protéger leurs fonds.

Certaines primes d’assurance diminuent pour l’entreprise à risque si elle est dotée d’un tel plan, jugé correct par un audit de l’assureur. Des outils normalisés (ISO notamment) peuvent aider à l’amélioration continue de ces plans, mais leur contenu précis, ni la méthode ne sont normés ou précisément définis ;

ni globalement, ni pour un socle commun.

Le Comité de la Réglementation Bancaire et Financière (CRBF) a défini le Plan de continuité d’activité comme un « ensemble de mesures visant à assurer, selon divers scénarios de crise, y compris face à des chocs extrêmes, le maintien, le cas échéant de façon temporaire selon un mode dégradé, des prestations de services essentielles de l’entreprise puis la reprise planifiée des activités »1..

Rappels

• Les directives du FMI (28 février 2006) demandaient des plans de continuité basés sur une estimation de l’impact d’une pandémie grippale sur l’Économie et la Finance.

• Le Joint Forum du Comité de Bâle a aussi encouragé les acteurs financiers à se préparer. L’avis du Joint Forum, qui a été créé en 1996 en groupant les organisations internationales se chargeant de produire des standards pour le secteur financier :

• le Comité de Bâle sur le contrôle bancaire (BCBS),

• l’Organisation internationale des commissions de valeurs (OICV),

• l’Association internationale des contrôleurs d’assurance (IAIS).

En novembre 2004, ces 3 organisations ont demandé

...